Re: Log Bizard

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: guilde
Subject: Re: Log Bizard
    Bonjour,

Remi FERNANDEZ a écrit :
> Bonjour,
>
> En parcourant les logs ce matin j'ai trouvé des lignes que je n'avais
> jamais lues auparavant
>
> dans /var/log/auth.log
>
> Feb 1 06:25:01 deltamsg su[29415]: Successful su for amavis by root
> Feb 1 06:25:01 deltamsg su[29415]: + ??? root:amavis
> Feb 1 06:25:01 deltamsg su[29415]: (pam_unix) session opened for user
> amavis by (uid=0)
> Feb 1 06:25:11 deltamsg su[29415]: (pam_unix) session closed for user
> amavis
> Feb 1 06:25:30 deltamsg su[30085]: Successful su for nobody by root
> Feb 1 06:25:30 deltamsg su[30085]: + ??? root:nobody
> Feb 1 06:25:30 deltamsg su[30085]: (pam_unix) session opened for user
> nobody by (uid=0)
> Feb 1 06:25:30 deltamsg su[30085]: (pam_unix) session closed for user
> nobody
> Feb 1 06:25:30 deltamsg su[30089]: Successful su for nobody by root
> Feb 1 06:25:30 deltamsg su[30089]: + ??? root:nobody
> Feb 1 06:25:30 deltamsg su[30089]: (pam_unix) session opened for user
> nobody by (uid=0)
> Feb 1 06:25:30 deltamsg su[30089]: (pam_unix) session closed for user
> nobody
> Feb 1 06:25:30 deltamsg su[30091]: Successful su for nobody by root
> Feb 1 06:25:30 deltamsg su[30091]: + ??? root:nobody
> Feb 1 06:25:30 deltamsg su[30091]: (pam_unix) session opened for user
> nobody by (uid=0)
> Feb 1 06:25:42 deltamsg su[30091]: (pam_unix) session closed for user
> nobody
>
> Je précise le contexte, il s'agit d'une machine sous Debian etch qui
> héberge un serveur LAMP et Mail...
>
> Est ce que vous voyez là des raisons de s'inquiter?


    Je dirais qu'à priori non. C'est l'utilisateur "root", qui a fait des 
"su" (voir "man su", cela permet au root de changer d'identité), afin de 
devenir "amavis" ou "nobody".


    Cela peut fort bien être le démarrage du démon "amavis". Pour le 
changement de "root" en "nobody", cela peut-être n'importe quel autre 
programme.


    Si ces lignes sont apparus lorsque la machine a démarrée (Feb 1 
06:25:01), tu trouveras l'explication d'un l'un des script de /etc/rc.*
(vraisemblablement /etc/rc5.d/*).


    Cordialement,


                            Olivier


-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
        /   / \  / \   \   Web:  http://olivieraj.free.fr/
       /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!